Le renseignement, troisième pilier indispensable d’une stratégie de sécurité efficace
publié le par Anne-Lise Marco● #avis d'experts
[EXCLUSIF] La récente vague d’attaques mondiales par ransomware qui a fait les gros titres dans les médias en Europe devrait servir de signal d’alerte clair aux entreprises du monde entier. Les entreprises sont aujourd’hui assiégées de toutes parts, car les cybercriminels lancent des campagnes qui se propagent rapidement et causent de vrais dégâts matériels ou financiers. Comment ces attaques peuvent-elles toucher un si grand nombre d’entreprises ?
Cyrille Badeau, Directeur Europe du Sud de ThreatQuotient
Le principe de défense en profondeur ne suffit plus face aux menaces sophistiquées actuelles
La stratégie de sécurité de la plupart des entreprises repose sur le principe de défense en profondeur, qui est défini par une évaluation des risques. Étant donné que toutes les applications ne présentent pas le même niveau de risque en cas de faille, une approche de défense en profondeur (le premier pilier de la stratégie de sécurité) consiste à évaluer le risque, puis à appliquer des contrôles et des systèmes de protection appropriés. Par exemple, une application servant d’interface avec des partenaires, dans laquelle s’échangent des informations financières, est susceptible de comporter davantage de risques qu’une page Web interne utilisée par le service des ressources humaines pour communiquer des informations générales sur l’entreprise. En fonction de l’importance stratégique de l’application, des équipes d’évaluation des risques déterminent donc les exigences de sécurité et mettent en place les strates de défense appropriées.
Si cette approche a fait ses preuves un certain temps, les entreprises ont rapidement réalisé que même le meilleur système de défense n’était pas à l’abri du piratage. Les cybercriminels se donnent pour mission de franchir le parcours d’obstacles représenté par des couches de produits spécifiques, dans le but de dérober, mettre hors service ou endommager des systèmes. Plutôt que de prendre en compte uniquement ce qui devait être protégé, les entreprises se sont alors penchées sur tout ce qui pouvait constituer une menace potentielle pour leurs ressources. C’est là qu’elles ont ajouté le deuxième pilier de leurs opérations de sécurité : la surveillance.
Les alertes de sécurité sont trop nombreuses pour surveiller efficacement l’ensemble des menaces
L’objectif de la surveillance est de détecter les menaces et d’y répondre. La stratégie de défense en profondeur s’est avérée être un véritable défi, puisqu’elle a conduit de nombreuses entreprises à se retrouver avec plus de 40 solutions de sécurité, de fournisseurs différents, réparties dans plus de 40 silos. Et comme ces produits ne sont pas intégrés, non seulement les entreprises se retrouvent partiellement protégées, mais en plus, chaque couche de l’architecture créant ses propres fichiers journaux et événements, elles font face à des difficultés majeures de gestion de ces volumes massifs de données.
Selon une récente enquête d’ESG, 42 % des professionnels de la sécurité avouent que leur entreprise fait l’impasse sur un grand nombre d’alertes de sécurité en raison du volume, et plus de 30 % admettent en ignorer plus de la moitié ! Dans la plupart des cas, le personnel du centre d’opérations de sécurité (Security Operations Center – SOC) chargé de corréler manuellement les fichiers journaux et les événements en vue d’investigations et d’autres activités se retrouve noyé sous une profusion d’informations.
Face à cette inflation de données et pour alléger la charge qui pèse sur les analystes, les systèmes SIEM sont apparus comme un moyen de stocker ces ensembles de données et d’assurer l’agrégation et la corrélation des journaux et des événements. Outil de prédilection des SOC, le SIEM leur permet d’analyser les journaux et les événements afin de déterminer s’il s’agit de bruit, de faux positifs ou de véritables menaces justifiant une remontée de l’information aux services compétents. Le CSIRT (Computer Security Incident Response Team) est une équipe chargée de mettre un terme aux menaces malveillantes et de tirer des enseignements de ces menaces pour veiller à ce que la défense de l’entreprise ne subisse pas deux fois les conséquences d’une même attaque.
Face à des attaques désormais quotidiennes, adoptons le renseignement pour connaître nos ennemis, leurs motivations, leurs moyens…
Ces deux piliers ont rempli leur mission en période de paix, lorsque les problèmes étaient l’exception plutôt que la règle. Mais lorsque des « exceptions » se produisent toutes les 10 minutes, on ne peut plus parler d’exceptions mais bien d’attaques directes. L’attitude consistant à se focaliser sur le traitement des exceptions et à réagir en conséquence ne permet plus aux équipes de sécurité et de réponse aux incidents de faire face à la situation. Ce qu’il faut mettre en place, c’est une approche proactive de traitement des menaces. Cela commence par une meilleure compréhension des activités et de l’évolution des hackers par zone géographique, par secteur d’activité et, en fin de compte, des motivations qui les conduisent à s’intéresser à telle entreprise en particulier.
Avec l’augmentation de la fréquence des attaques sur de multiples fronts, le moment est venu d’ajouter un troisième pilier pour une stratégie efficace : le renseignement. Pour aider à comprendre l’adversaire, le renseignement sur les menaces s’intéresse à l’univers extérieur au périmètre de l’entreprise. Il passe au crible une multitude de données sur les menaces mondiales pour informer sur les événements, aider à les analyser et agir. La surveillance des menaces permet de devenir bien plus proactif en établissant non seulement un profil de l’attaque, mais aussi des attaquants, qui modifient rapidement leurs outils, techniques et procédures afin d’échapper aux technologies de défense. Grâce à des processus basés sur le renseignement, les équipes de sécurité peuvent exploiter les informations dont elles disposent sur leurs adversaires et sur la manière dont ces derniers évoluent pour renforcer la surveillance interne de l’entreprise en se concentrant sur les menaces pertinentes et prioritaires et en minimisant les fausses alertes (bruit et faux positifs). Les équipes de sécurité peuvent renforcer leur périmètre de défense grâce à l’envoi automatique de renseignements pertinents sur les menaces directement à la grille de détection (pare-feu, IPS, IDS, NetFlow, etc.). Ces renseignements permettent en effet de créer, d’appliquer et de mettre à jour des stratégies et des règles afin de protéger de façon proactive l’entreprise des menaces à venir.
En temps de guerre, les chefs militaires qui réussissent font évoluer leur stratégie, et le renseignement devient primordial. Au cours de ces derniers mois, il est devenu clair que nous ne sommes plus dans une période de paix. Les adversaires évoluent rapidement et lancent des attaques à grande échelle aux conséquences dévastatrices. Or, le pouvoir change de main dès lors que vous connaissez votre ennemi. En optant pour le renseignement comme troisième pilier de sa stratégie de sécurité (et clé de voûte de sa défense), l’entreprise peut justement connaître son ennemi et ainsi passer d’une attitude de sécurité purement réactive à une démarche proactive afin de mieux se protéger.
XEn poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies essentiels au fonctionnement du site, ceux nous permettant d'améliorer votre expérience, de mesurer l’audience de notre site et de vous proposer un contenu plus adapté. Vous avez la possibilité de personnaliser l'utilisation de ces cookies. Mais la désactivation de certains de ces cookies peut avoir un effet sur votre expérience de navigation. En savoir plusPersonnaliser mes choixJe refuse toutJ'ACCEPTE TOUT
Politique de confidentialité
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Les cookies nécessaires sont absolument essentiels au bon fonctionnement du site Web. Ces cookies assurent les fonctionnalités de base et les fonctions de sécurité du site Web, de manière anonyme.
Les cookies fonctionnels aident à exécuter certaines fonctionnalités telles que le partage du contenu du site Web sur les plates-formes de médias sociaux, la collecte de commentaires et d’autres fonctionnalités tierces.
Cookie
Durée
Description
mautic_device_id
1 year
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing.
Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
mautic_referer_id
30 minutes
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie permet de connaître l’origine du visiteur.
mtc_id
session
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
mtc_sid
session
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session
Les cookies de performance recueillent des informations sur l'utilisation de nos sites web afin d'améliorer leur attractivité, leur contenu et leur fonctionnalité. Ces cookies nous aident, par exemple, à déterminer quelles pages secondaires de notre site sont visitées et quel type de contenu intéresse nos lecteurs.
Cookie
Durée
Description
YSC
session
Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l'utilisateur a vues.
_first_pageview
10 minutes
Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n'afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
_gat
1 minute
Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.
Les cookies analytiques sont utilisés pour comprendre comment les visiteurs interagissent avec le site Web. Ces cookies aident à fournir des informations sur les mesures du nombre de visiteurs, du taux de rebond, de la source du trafic, etc.
Les cookies publicitaires sont utilisés pour proposer au visiteurs des publicités personnalisées selon votre parcours sur notre site.
Cookie
Durée
Description
IDE
1 year 24 days
Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID
6 months
This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE
5 months 27 days
This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
Cookie
Durée
Description
ARRAffinitySameSite
session
No description
attribution_user_id
1 year
No description
cg_uuid
1 year
Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
Dossiers
Chroniques
Guides et carnets
Évènements
Podcast
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Alliancy Studio
Alliancy Le Mag
Alliancy Les Cercles
Dossiers
Chroniques
Guides et carnets
